Sızma Testi işlemlerini açıklayan yazılarımız devam ediyor. Bu çalışmamızda Sızma Testi Safhalarından 1.Safha olan Koordinasyon maddesi içerisinde görüşülecek hedefleri açıklayacağız.
Bildiğiniz gibi Koordinasyon faaliyetin ilk bölümünü AMAÇ (bkz.) başlığı oluşturur. Ulaşılmak istenen birincil, ikincil ve nihai hedefler, gerçekleştirilecek olan testlere yön verir. Tüm bu hedefler doğrultusunda gerçekleştirilen testler, hizmet alan firmanın genel hedef ve politikalarına katkı sağlar. Dolayısıyla doğru bir yaklaşımla tespit edilen hedefler, her zaman için hizmet alan firmaya büyük fayda meydana getirir.
Hedeflerin tespitinde dikkat edilmesi gereken konular ve yapılan genel hataları aşağıda açıkladık. Bu başlıklar, Birincil, ikincil ve nihai hedefler olarak 3 alt kısma ayrılmıştır. Siber uzayın esnekliğini de göz önüne alırsak, bu alt kısım ve maddeler değişebilir. İhtiyaca göre yeniden dizayn edilebilir. Hatta, yeni kontrol listeleri ve soru cevap formları da geliştirilebilir. Örnek olması açısından biz 3 alt madde kullanıyoruz.
Birincil Hedefler
Yapılacak olan testin öncelikli hedeflerini belirleyen husus, standartları sağlamak olmamalıdır. Firma, bir standardı sağlamak için Sızma Testi yaptırıyorsa, bilinmelidir ki Standart ile Güvenlik aynı şey değildir.
Örneğin, sistemde müşteri bilgilerinin veya kredi kartlarının işlendiği bir bilişim altyapısı varsayalım. Burada tespit edilmesi gerekli birincil hedefler, sistemin ne kadar güvenli olduğu ve risklere karşı direnç, dayanıklılık düzeyini tespit olabilir. Bu hedefler genellikle yönetim kademesini ve karar mekanizmalarını doğrudan ilgilendirir.
İkincil Hedefler
İlk maddede olmaması gereken olarak ifade ettiğimiz tarzda hedefler burada belirtilir. Örneğin, standarda uygunluk tespiti, tam da bu ikincil hedeflerin konusudur. Yine aynı kredi kartı sistemini örnek verecek olursak, iletişim esnasında kullanılan şifreleme algoritmasının güvenlik düzeyi veya kullanılan iletişimin protokolünün zayıf taraflarının tespiti gibi konular örnek verilebilir.
Birincil ve İkincil hedefleri kesin kural ve çizgilerle ayırmak mümkün olmadığından bazen karıştırılır. Bu hedeflerin ayırımını yapabilmek için şu nokta dikkate alınır. Birincil hedefler, doğrudan şirket yönetimini ilgilendiren ve dikkatlerine sunulması gereken genel stratejik sonuçları elde etmeye yarayan hedeflerdir.
Nihai Hedefler
Bu madde bahsedeceğimiz nihai hedefler, birincil ve ikincil hedeflerden farklıdır. Yapılan testlerin firmanın uzun vadede gerçekleştirmek istediği hedeflerine katkı sağlayan noktalarıdır. Genellikle, test hizmeti veren firma ile uzun vadeli ve farklı zamanlarda test için anlaşılmış ise tespit edilebilirler.
Tek sefere mahsus testlerde birincil ve ikincil hedefleri tespit ve onlara göre testi şekillendirmek yeterli olabilir. Nihai hedefler ise orta ve uzun vadeli planlar ile ilgilidir. Örneğin, firma önümüzdeki 2 sene sonunda güvenli veri depolama ve yedekleme hizmeti vermek için alt yapı yatırımı kararı almıştır. Bu hizmeti vermeye başlamadan önce, 2 yıl boyunca her ay sistemini test ettirmek ve bu test sonuçlarıyla müşterilerine güvence vermek istiyor olabilir. İşte bu tür konular, istenirse nihai hedefler olarak tespit edilebilir.
Bu yazıyla birlikte Koordinasyon Safhası ile ilgili incelememizi tamamlamış olduk. Gelecek yazılarımızla Bilgi Toplama Safhasını detaylı incelemeye başlayacağız. Görüş ve yorumlarınızı bize bildirebilirsiniz.